Emne

Informasjons- og programvaresikkerhet (DAT250)

Faget skal gi en introduksjon til informasjonssikkerhet samt grunnleggende kunnskap om programvaresikkerhet. Programvaresikkerhet er hvordan å utvikle programvare som fortsetter å oppføre seg som forventet selv om den utsettes for angrep i form av villede handlinger utenfra. Dette betyr at egenskaper som konfidensialitet og integritet ivaretas, ikke bare tilgjengelighet. Kurset vil presentere vanlige feil og mottiltak, og beskrive programvareaktiviteter som bidrar til bedre programvaresikkerhet.


Dette er emnebeskrivelsen for studieåret 2020-2021

Se emnebeskrivelse og eksamens-/vurderingsinfo for dette studieåret (2024-2025)

Semesters

Fakta

Emnekode

DAT250

Vekting (stp)

10

Semester undervisningsstart

Høst

Undervisningsspråk

Engelsk

Antall semestre

1

Vurderingssemester

Høst

Timeplan

Vis timeplan

Litteratur

Pensumlisten finner du i Leganto

Innhold

Programvaresikkerhet er hvordan å utvikle programvare som fortsetter å oppføre seg som forventet selv om den utsettes for angrep i form av villede handlinger utenfra. Dette betyr at egenskaper som konfidensialitet og integritet ivaretas, ikke bare tilgjengelighet.

Tema som dekkes omfatter:

  • Introduksjon til informasjonssikkerhet
  • Autentisering
  • Aksesskontroll
    • RBAC
  • GDPR og personvern
  • Typiske angrep
  • OWASP top 10
    • Software vulnerability
  • Dependency checking
  • Trusselmodellering
    • STRIDE
    • EoP
  • Programvareaktiviteter for sikkerhet - BSIMM
  • Privacy by design (innebygget personvern)
  • Smidig programvaresikkerhet
  • Protection Poker
  • Statisk analyse for sikkerhet
  • OWASP testing guide
  • Risikobasert sikkerhetstesting
  • Penetreringstesting
    • Kali Linux
    • Red Team
    • Bug bounties
    • Penetreringstestingsstandard
  • Kryptografi i programvare
    • Nøkkelhåndtering
  • Web sikkerhet

Læringsutbytte

Kunnskap:

  • Kunne grunnleggende informasjonssikkerhetskonsepter
  • Kjenne til de vanligste angrepsmåtene mot programvare
  • Kunne de vanligste teknikkene for trusselmodellering

Ferdigheter:

  • Beherske grunnleggende adgangskontroll-mekanismer, inkludert rollebasert aksesskontroll
  • Beherske teknikker for å unngå de vanligste angrepene på programvare
  • Beherske statisk sikkerhetsanalyse av programvare
  • Beherske grunnleggende teknikker for sikkerhetstesting av programvare, inkludert penetreringstesting

Generell kompetanse:

  • Skal kunne utvikle programvare som i størst mulig grad ikke inneholder sikkerhetsfeil og sårbarheter, gjennom å utføre bestemte programvareutviklingsaktiviteter.

Forkunnskapskrav

Ingeniørfaglig innføringsemne - Data og elektro (ING100)
Det er nødvendig med grunnleggende programmeringskunnskaper for å løse obligatoriske oppgaver.

Anbefalte forkunnskaper

Grunnleggende programmering (DAT110)

Eksamen / vurdering

Vurderingsform Vekting Varighet Karakter Hjelpemiddel Exam system Withdrawal deadline Exam date
Oppgaver 60/100 Bokstavkarakterer 08.09.2020
Gruppeinnlevering 40/100 Bokstavkarakterer Inspera assessment 18.09.2020


Fagperson(er)

Instituttleder:

Tom Ryen

Emneansvarlig:

Martin Gilje Jaatun

Ansvarlig laboratorieøvelser:

Ferhat Özgur Catak

Arbeidsformer

2 timer forelesning per uke + 4 timer forelesning annen hver uke.

2 timer øvingsveiledning hver uke.

Åpent for

Batteri- og energiteknologi - bachelor i ingeniørfag Bygg - bachelor i ingeniørfag Datateknologi - bachelor i ingeniørfag Datateknologi - bachelor i ingeniørfag, deltid Elektroteknologi, y-vei - bachelor i ingeniørfag Elektroteknologi - bachelor i ingeniørfag, deltid Elektroteknologi - bachelor i ingeniørfag Energi- og petroleumsteknologi - bachelor i ingeniørfag Geovitenskap og energiressurser - bachelor i ingeniørfag Miljøteknologi - bachelor i ingeniørfag Maskin - bachelor i ingeniørfag Medisinsk teknologi - bachelor i ingeniørfag Medisinsk teknologi - bachelor i ingeniørfag - deltid
Enkeltemner ved Det teknisk-naturvitenskaplige fakultet
Industriell økonomi - master i teknologi/siv.ing., femårig Kybernetikk og robotteknologi - Master i teknologi/siv.ing. - 5 år
Utveksling ved Det teknisk- naturvitenskapelige fakultet

Emneevaluering

Skjer vanligvis gjennom skjema og/eller samtaler i henhold til gjeldende retningslinjer.

Litteratur

Litteratur1. McGraw G. Software security : building security in. Addison-Wesley; 2006.2. Anderson RJ. Security engineering : a guide to building dependable distributed systems. 2nd ed. Wiley Publ; 2008. https://www.cl.cam.ac.uk/~rja14/book.html3. Martin Gilje Jaatun. Forelesningsnotater. https://infosec.sintef.no/emne/undervisning/dat250/4. Meucci M. OWASP Testing Guide v4.0. https://www.owasp.org/images/1/19/OTGv4.pdfTilleggsstoff5. McGraw G. Building Security In Maturity Model | BSIMM. https://www.bsimm.com/Lysark6. Martin Gilje Jaatun. Lysark fra forelesningene. Canvas

Kontakt

Instituttleder:

Tom Ryen

Emneansvarlig:

Martin Gilje Jaatun

Ansvarlig laboratorieøvelser:

Ferhat Özgur Catak

Tilbys av

Det teknisk-naturvitenskapelige fakultet

Institutt for data- og elektroteknologi

Emnebeskrivelsen er hentet fra Felles studentsystem Versjon 1